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Introducción 


En los últimos años, el término “hacker” ha sido bastante controvertido y se ha asociado a personas 
que utilizan herramientas y medios informáticos para realizar actividades delictivas. Esto ha dado 
agar a un temor generalizado sobre dicho colectivo y ha sido una situación que desafortunadamente, 
se ha ido agravando con la ayuda de los medios de comunicación convencionales los cuales no 
suelen distinguir entre un delincuente y un hacker. 


Seguramente los lectores de este libro entienden perfectamente la diferencia, sin embargo. hay 
muchas personas que opinan que un delincuente y un hacker son exactamente lo mismo. Esto es 
algo lamentable, pero aún existen comunidades de usuarios que intentan conservar los principios 
y la filosofía hacker con sus mejores herramientas: La información y el conocimiento. Dichas 
comunidades se encargan de publicar documentación sobre temas relacionados con la seguridad 
informática y desarrollan herramientas que pueden ser utilizadas para apoyar los procesos de 
auditoría ejecutados por pentesters profesionales. El enfoque de estas comunidades, es proveer el 
conocimiento y los medios necesarios para que un pentester pueda detectar cualquier tipo de fallo 
antes que un atacante, 


Uno de los principales objetivos de este libro, es exponer algunas de las técnicas utilizadas por los 
atacantes en /nternel para comprometer sistemas y posteriormente tener control total sobre dichas 
máquinas. ¿Por qué motivo? Porque para un pentester profesional, entender cómo piensa y actúa un 
atacante, es muy importante para evitar o detectar intrusiones. Podría decirse, que la mejor forma de 
aprender a defender efectivamente una aplicación o un servicio, es conociendo el modo de actuar de 
un adversario, aprendiendo sus técnicas y herramientas de uso común para poder intentar anticiparse 
y tomar las medidas preventivas oportunas. Esto se conoce como seguridad ofensiva y es un enfoque 
muy potente, уа que le permite a un pentester tener una visión global sobre las técnicas que pueden 
ser utilizadas para comprometer un sistema y las medidas defensivas que deben adoptarse. 


Por otro lado. muchas de las herramientas y librerías cuyo enfoque se centra en la seguridad 
informática, se encuentran escritas en lenguaje Python y la principal razón de esto, es debido a que 
Python ha sido un lenguaje utilizado mayoritariamente por hackers, los cuales prefieren lenguajes 
de programación sencillos y potentes: Python cumple con ambos requisitos. 

Algunas de las herramientas y librerías más destacadas hoy en día y que se encuentran escritas en 
lenguaje Python se listan a continuación: 


- боору 
= Sulley Framework. 
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- PyDBG. 

- Cuckoo Sandbox. 

= Volatility Framework. 
БЕТА 

- Paramiko. 

= Mechanize. 

= BeautifulSowp. 

= Python-nmap. 

- Stem. 

- Twisted. 

- Pamei. 

- Veil Framework. 

- SET (Social Engineering Toolkit) 


Enel listado anterior, solamente se incluyen algunas de las librerías y herramientas más conocidas en 
lenguaje Pyuhon, sin embargo existen muchas más que no se han listado y que han tenido un impacto 
muy positivo en la forma en la que se crean y auditan algunas de las aplicaciones y protocolos de 
uso común. 


La potencia y simplicidad de Pvihon, le convierte en un lenguaje de programación ideal para crear 
pruebas de concepto rápidas que permitan estructurar una idea y posteriormente demostrarla, 
Además, ha sido un lenguaje del que se ha hablado muchisimo y que han recomendado hackers y 
personas con mucho renombre en el campo de la seguridad informática desde hace varios años, un 
ejemplo claro se encuentra en el documento de Eric 5. Raymond titulado "How го become a Hacker" 
(Como convertirse en un Hacker) en el que habla sobre la filosofia, la cultura y los principios 
psicológicos más destacados en los Hackers. En uno de los apartados de dicho documento, habla 
sobre las habilidades que desarrolla un hacker сп su proceso de aprendizaje continuo y menciona 
lenguajes como Python y C para crear programas con fines centrados en la seguridad informática у 
el Hacking. Dicho documento, se encuentra disponible ea la siguiente ruta: 
Htip://wwscatbsorg/-esr/fags/hacker-howto.Iiml y se recomienda su lectura. 


Aunque muchas de las herramientas y librerías desarrolladas en Py1hon enfocadas a la seguridad 
informática, tienen como objetivo apoyar los procesos de pentesting para encontrar y corregir 
vulnerabilidades, evidentemente, también ban sido utilizadas por atacantes para detectarlas у 
explotarlas, por este motivo es importante contar con los conocimientos necesarios para anticiparse 
a las acciones potencialmente peligrosas de los atacantes en /nterner. Un buen pentester y en general, 
cualquier persona que se dedique profesionalmente a la informática, preferiblemente debería saber 
programar para crear sus propias utilidades o ayudar а corregir fallos en herramientas existentes. 


Por otro lado, es importante resaltar que la intención de este libro es ayudar al lector a afinar sus 
habilidades en programación con Python y proveer los conocimientos necesarios para entender 
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las principales técnicas utilizadas por delincuentes en Internet. No se trata de un manual para 
cometer delitos informáticos, sino todo lo contrario, para intentar prevenirlos y alertar sobre sus 
consecuencias. 


La mejor forma de aprender a proteger cualquier recurso informático, consiste precisamente en 
aprender a pensar como lo hace un atacante para conseguir anticiparse. Tal como decía Sun Tzu en 
"El arte de la guerra": "Si conoces a tu enemigo y te conoces a ti mismo, ni en cien batallas correrás 
peligro; si no conoces a tu enemigo, pero te conoces a ti mismo, perderás una batalla y ganarás otra; 
si no conoces a tu enemigo ni te conoces a ti mismo, correrás peligro en cada batalla”, 


Tienes en tus manos un documento que ha sido el resultado de varias horas de esfuerzo y dedicación, 
el cual espero que utilices de forma responsable en un entorno controlado y con la autorización 
correspondiente según sea el caso. No es mi intención proporcionar una guía para delincuentes, sino 
un documento para profesionales y entusiastas de la seguridad informática que les guste programar y 
afinar sus conocimientos, una guía para personas que les gusta saber cómo funcionan las cosas y que 
зе encuentran en un proceso continuo de aprendizaje. Es un libro que espero que sea de tu agrado, 
que te aporte conocimientos y te ayude a desarrollar herramientas que luego puedas compartir con 
toda la comunidad hacker. 


Saludos y Happy Hack! 
Adastra. (@jdaanial) 
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Capítulo I 
Recolección de Información y Escaneo 


1.1 La información es la base en el mundo del hacking 


En la era digital y con el inmenso auge de herramientas, tecnologías y avances, no cabe duda que. 
una de las mejores armas que tienen los profesionales de la seguridad informática es precisamente 
la información y el sentido común. Sin embargo, uno de los retos más complejos a los que nos 
enfrentamos hoy en dia, es determinar qué información es relevante y cuál representa simplemente 
datos sin trascendencia. El caso de los administradores de sistemas, es un claro ejemplo de esta 
situación, se trata de profesionales que tienen que enfrentarse diariamente a enormes ficheros de 
logs, alarmas de sistemas de registro y detección de intrusiones, entre muchas otras cosas. Para ellos. 
su pericia, capacidad de análisis y criterio, son los elementos que realmente puede hacer la diferencia 
entre un sistema seguro y uno comprometido. Por otro lado, un atacante se enfrenta exactamente al 
mismo reto, su capacidad de extraer y procesar información sobre el sistema objetivo, ез vital para. 
poder encontrar cualquier tipo de fallo o fuga de información sensible, su capacidad de recopilar y 
utilizar la información que obtiene sobre su objetivo es lo que le permite alcanzar sus propósitos 


Además de lo anterior, cuando se habla de la anatomía de un ataque y de seguridad ofensiva, 
la recopilación y análisis de información es un proceso transversal que se debe implementar en 
todas las etapas, desde el reconocimiento inicial del objetivo hasta las etapas finales que consisten 
principalmente, en limpiar rastros y crear puertas traseras para intentar garantizar accesos futuros. 


Dicho esto y sin perder de vista el contexto de este libro, en Pwhon existen una gran variedad de 
herramientas y librerías que permiten extraer información para realizar actividades de reconocimiento, 
Los siguientes apartados detallarán algunas de las más comunes y utilizadas para la recolección y 
categorización de información. 


1.2 Definición del sistema objetivo 


Desde el punto de vista de un atacante, una vez se ha definido cuál será el sistema objetivo, lo 
primero es intentar delimitar los puntos principales de acceso y la información que se encuentra. 
disponible de forma pública. En esta etapa inicial, puede resultar útil para un atacante, cualquier tipo 


Python para Pentesters 


de información que le permita entender las actividades del objctivo. Por ejemplo, en el caso de que 
sea una organización, es vital recopilar información relacionada con sus empleados, ubicación de 
oficinas, las actividades a las que se dedica, organigramas. clientes, etcétera. Todos estos detalles son 
muy importantes para un atacante a la hora de planificar sus actividades y dada la naturaleza pública 
de dicha información, puede ser utilizada por cualquiera. 


Ahora bien, desde el punto de vista de un pentester profesional que ha sido contratado para auditar 
las medidas de seguridad de una organización, es muy importante delimitar adecuadamente el 
alcance de sus actividades y obtener por escrito, una autorización firmada indicando concretamente 
las actividades que se pueden llevar a cabo. Ese tipo de documentos son muy importantes ya que le 
permiten a un pentester realizar ataques controlados en un contexto legal y legítimo. 


1.3 Recolección de Información con Python 


Automatizar el proceso de recolección de información puede conseguirse utilizando las librerías 
incluidas directamente en el lenguaje, asícomo algunas de las disponibles por terceros. A continuación 
se detalla el uso de algunas de las más útiles para cumplir con este objetivo. 


1.3.1 Extraer información en servidores DNS utilizando DNSPython 


Con esta librería es posible realizar consultas a servidores DNS del mismo modo que es posible. 
hacerlo con herramientas como dig, fierce o nslookup, con la ventaja de que el resultado de las 
consultas se puede controlar desde Pon y posteriormente dicha información puede ser utilizada 
para distintos fines directamente desde un scripr. El sitio web oficial de esta libreria es el siguiente: 


Para instalarla, solamente es necesario ejecutar el script serup.py con el argumento install. 
V Python setup.py install! 


Ahora, se pueden realizar diferentes tipos de consultas que permitirán obtener información sobre un 
dominio concreto. 


redits" ог "license" for more information. 


(dns. resolver.query('qoogle.com','A'),das.resolver, 


lesolver.query('google.com', 'NS'), dns.resolver. 


query('google.cer*, “ААА”)) 
>>> print апай пезрөлге ко texzi). 
zd 53947 

opcode QUERY 
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code NOERROR 


173.194.34.200 
173.194.34.20: 
173.194.34.198 
173:194:34.196 
173.194,34, 194 
173:194.34.192 
173.194.34,197 
173.194.34.193 
173.194.34.195 
173.194.34.199 
173.194.34,206 


PP» »»» 


Та 46859 
Gpcode QUERY 
code NOERROR 
Sags QR RD RA 
¡QUESTION 
google.com. IN МХ 

(SHE. 
google.com. 99 IN МХ 10 aspmx.1.googl. 

com. 99 IN MX 20 alti 

com. 99 IN 
сот. 99 ІН 
com. 99 IN 
GAUTHORITY 
¿ADDITIONAL 
aiti.aspmk.l.googl 50 IN A 173.194.70.26 
pmx.l.google.com. 47 IN AAAA 2a00:1450:4001:602::1b 
pmx.l.google.com. 105 IN A 74.125.25.26 
pprx.1. google.com. 102 IN A 74,125,143.26 
Alt2.aspmk.l.google.com. 180 IN A 173.194.69.26 
al:2.aspnk.1.google.com. 259 ІМ AAAA 2а00:1450:4001 


Li ser MM 
Е 


pede QUERY 
Tosde NOERROR 
Sags QR RD RA 
QUESTION 


EI 


194408 IN NS ns2.google 
194408 IN NS na3-9cogl 
194408 IN NS na4.gcogl 
Google.com. 194408 IN NS ns1.9co9l 
SAUTHORITY 


18 Python para Pentesters 


¿ADDITIONAL 
223.google.com. 192065 
msiigoogle.com. 192066 
mailgoogle.com. 191898 
msdigeogle.com. 191940 
35» peint ansAAAA.response.to сене) 
38370 
opeaae, QUERY 
25949 NOERROR 
fags OR RD RA 
¿QUESTION 
google.com. IN AAAA 
TANSWER 
google.com. 232 IN АЛАА 
нокту 
ды 


¿ADDITE 


En este caso se ha utilizado DNSPyrhon para ejecutar consultas sobre varios tipos de registros DNS, 
en concreto sobre los registros /РУ4 (А), IPV6 (AAAA); Nameservers (NS) y MailServers (MX). 


Además de extraer este tipo de información, otra prueba bastante común contra servidores DNS, es 
intentar realizar una transferencia de zona, que consiste en permitir a un servidor DNS secundari 
actualizar su base de datos de zona a partir de un servidor DNS primario. Se trata de una característica 
que permite a un servidor DNS secundario (o espejo) garantizar la disponibilidad del servicio cuando 
el servidor DNS principal no puede atender más peticiones o se encuentra caído. Cuando un servidor 
DNS no se encuentra correctamente configurado puede proveer una copia completa de sus registros 
a cualquiera que lo solicite, permitiendo de esta forma, la divulgación de información sensible que 
no debería ser expuesta de forma pública. 

>>> import dns.query 

>>> import dna, zone 


>>> zone = dns.zone.from xfr(dn: 194,34.192', "thehackerway.com')) 


En este caso, se intenta realizar una transferencia de zona entre el servidor DNS principal y un 
dominio controlado por el atacante. En el caso de que el servidor no se encuentre correctamente 
configurado, la transferencia de zona se realizará correctamente y en el dominio del atacante se 
almacenará una copia de los registros del servidor DNS prin 


1.3.2 Ejecutar consultas WHOIS con pythonwhois 

Aunque para los más neófitos /nterner puede parecer una red carente control y completamente 
descentralizada, la realidad es que existen organizaciones que se encargan de gestionar la 
interoperabilidad de los sistemas que funcionan en la red e intentan prevenir los conflictos que 
puedan producirse con las direcciones /P, así como también la gestión de los nombres de dominios, 
parámetros de protocolos como DNS y números de puertos. Este tipo de funciones son llevadas 
a cabo desde hace varios años por una organización sin ánimo de lucro compuesta por empresas, 
universidades y comunidades de usuarios llamada САМА (Internet Corporation for Assigned Names 
and Numbers). Aunque antiguamente estos detalles técnicos eran gestionados completamente рог 
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21 gobierno de los Estados Unidos de América con la JANA (Internet Assigned Numbers Authority) 
тіз actualidad dichas actividades son ahora supervisadas y coordinadas por la /CANN. De hecho, 
ANA es ahora un departamento complementario de la /CANN. 


Aunque los servidores centrales de la /CANN realizan actividades de gestión sobre dominios, 
direcciones ІР, servidores, entre otras cosas, la información necesaria para resolver direcciones y 
dominios se encuentra diseminada por /nternet en múltiples servidores WHOIS. 


WHOIS es un protocolo que permite realizar consultas con el fin de obtener información detallada 
sobre el propietario de un dominio, fechas de creación y caducidad, teléfonos de contacto e incluso 
direcciones y códigos postales. Desde luego es una muy buena fuente de información para un 
atacante y un punto de inicio adecuado para perfilar un objetivo. Realizar consultas whois es un 
procedimiento bastante trivial en sistemas basados en Unix ejecutando utilidades por la linca de 
comandos, sin embargo existen una gran variedad de servicios en /nterner que permiten consultar 
Jos registros whois para un dominio determinado, por ejemplo: http://whois.nev. 


Хо obstante, para un atacante es conveniente tener toda esta información en estructuras de datos que 
puedan ser utilizadas posteriormente desde un scripr. Es aquí donde es posible utilizar la librería 
pythomwhois que permite realizar consultas whois contra un dominio concreto y posteriormente 
almacenar los resultados en una estructura de datos consistente y fácil de utilizar. Esta librería puede 


ser descargada desde el packer index de Python en la siguiente dirección: Aups:/pypipython.org/. 


El procedimiento de instalación de esta librería, como muchas otras disponibles en Pyrhon, consiste 
simplemente en ejecutar el script setup.py con el argumento install. 


Milissscnren coping statal 


Una vez instalada la libreria, es posible importar el módulo principal que permite emplear las clases. 
y utilidades necesarias para realizar consultas. 
Apython 

on 2.6.6 (266184292, Dec 26 
[GCC 4.4.5] on linuxz 
Type "help", “copyright”, “credite” 
>>> import pythonwhois 


£ more information. 


Ahora, se puede utilizar la API de pythomwhoís para extraer información desde cualquier scripr en 
Python. 
>>> русһовмм одет root server(*gsogie.ccm) 
isign-gra.con' 

>>> whois = python 
>>> whois.keys() 
аташа”, "updated date”, "contacts: expization date”, *erea- 
tion date’, ‘raw’, "whois server”, "emails 
>>> whois .values() 
2101 tentüpdateProhibited' 
ted'], [datetime.datet. 

View, "fax: *e1.6506188571*, 


«get, whois (google. 


11. 6506234000", 
code’: 940437, 
"tech'; ("city^: Mount, 


“1600 Anphitheatre Parkway”, 


Con la función pyihomwhois.net.get_root_server() es posible recuperar el servidor raíz para. 
dominio determinado y con pyihomwhois.get_whois() un diccionario con toda la información 
el dominio. 


El el caso de que sea necesario obtener la respuesta cruda, es posible ejecutar la función pyrhomwi 
get whois. ғам) la cual retorna toda la información sobre un dominio especifico en una lista 
respuestas, donde cada elemento de la lista, corresponde a cada uno de los servidores W 
consultados. 

>>> import рр 


("Domain Name Wi 28 Server: whois. 
markmonitor.c. d Date: 20 

06708:17:22-0800V5Creation Dati 0-02700:00 trar Registrati 
Expiration Date: 2020-09-13721:00:00-0700WReglstrar: MarkMonitor, Inc. VnRegist 


ТАМА 10: 292 WnRegietra 


casos, sumamente informativa para un atacante, 


1.3.3 GeoLocalizacion del objetivo con PyGeoIP 
Los SIG (Sistema de Información Geográfico) han sido utilizados desde hace algunos años 
localizar un punto determinado en un espacio geográfico. Esta tecnología también ha pe 
relacionar direcciones /P públicas con redes de datos y localizaciones concretas en todo el mu: 


En la actualidad existen bases de datos disponibles de forma pública, que asocian millones. 
direcciones /P de servidores en Internet con el país y la ciudad donde se encuentran. Para un 
el uso de dichas bases de datos supone una forma de validar la información que ha podido reco! 
con las consultas WHOIS realizadas previamente o de complementar el conocimiento ya dist 
sobre el objetivo. 


La librería PyGeo/P es en realidad un envoltorio de la libreria geo-ip-c que permite enc 
información geográfica a partir de una dirección /P determinada. Dicha librería depende direct 
de las bases de datos GeoLite las cuales son actualizadas frecuentemente y pueden ser desc: 
libremente desde su sitio web oficial Autp:/dev.maxmind.com/geoip/legacy/geolite/. 


Рубедір se puede descargar desde su repositorio G/Ten Autps:/github.com/appliedsec/pygeoip. 
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Del mismo modo que se ha indicado anteriormente para otras librerías, si se desea instalar pygeoip 
solamente es necesario ejecutar el script setup.py con el argumento install. 


Una vez instalada, es necesario descargar las bases de datos GeoLite que pueden ser Country, 
Country IPv6, City, City IPv6, ASN y ASN ІРуб. 
python 
thon 2.6.6 (1266184292, Dec 26 2010, 22:31:48) 
СС 4.4.5] on linux? 
туре "help", "copyright", "credits" or "license" for more information. 
>>> import рудесір 
>>> import pprint 
= pygeoip.GeofP ('GeoLiteCity.dat*) 
country code by name('google.con') 


>>> pprint.pprint(gi.record by addr(*173.194.34.1927)) 


i'area code': 650, 
Selty?+ u'Mountain View, 
Tcontinent': "NA^ 


‘country_code’ : 
country. code 
‘country nane’ + 
“апа сойо’: 807, 
‘latitudo’: 37.41 


"metro собе’: 
postal собе’ 
^гедіоп code* 
me zOne': "Aserica/Los Angeles") 
>>> gicountry name by addr(*173.194.34.1927)) 
"United States" 
>>> gi.time zone by addr(*173.194,34.192^) 
"Anerica/108 Angelen” 


Como se puede apreciar, utilizando la base de datos GeoLiteCip:dat es posible extraer información 
muy valiosa si tenemos la dirección /P o el nombre de dominio del objetivo. 


Las otras bases de datos disponibles también deben ser consideradas, ya que contienen información 
valiosa que puede ser muy útil para un atacante. 


>>> 916 = pygeoip.GeoP(*CeoIPV6.dat^) 
>>> glv6.country_code_by_adde (*2A00:1450:400£:802 
rf 

>>> giv6.country name by айде (*2200:1450:400: 
“Ireland? 

>>> giAsn = pygeoip.Ce: 


1006) 


so 


0017) 


dat’) 


>>> giAsn.iep by name (*google.cont) 


272515169 Google Inc. 


Alternativamente, también existen múltiples servicios online que permiten obtener este tipo de 
información como es el caso de ht1p://mpip.es/ o ht1p:/Awwwmelissadata.com/lookups/iplocation. 
ар. 
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En dichos servicios es posible obtener información bastante fiable sobre la localización geográfica de 
un servidor en función a su dirección /P, no obstante, dicha información se enseña directamente en 
el navegador y para un atacante puede resultar interesante obtener dicha información directamente 
en sus scripts en Python. Para ello, puede utilizar algunas de las librerías disponibles para extraer 
información desde páginas web tales como Mechanize y BeautifulSoup. 


1.4 Utilizar motores de büsqueda para recolectar 
información sobre un objetivo 


Los motores de búsqueda como Google, Yahoo! o Bing, suclen indexar muchisima información 
sobre organizaciones y dominios. Dicha información en muchos casos no deberia ser expuesta 
de forma pública y tales fugas pueden beneficiar enormemente a un atacante a la hora de perfilar 
víctimas potenciales. 


1.4.1 Google Hacking 

Además de ser uno de los motores de búsqueda más utilizado en todo el mundo, es también una 
herramienta muy útil para encontrar información concreta sobre sitios web en Interner, Una de las sus 
principales características, es que cuenta con una serie de operadores que permiten hacer búsquedas 
muy específicas. Lo que hoy en día se conoce como Google Hacking fue inicialmente introducido 
por Johnny Long. quien ha sido uno de los principales investigadores en el campo de recolección 
de información utilizando Google. Sin embargo. su evolución ha sido bastante interesante, hasta el 
punto que el proceso de búsqueda y recolección se encuentra ahora automatizado por herramientas y 
bases de datos con cadenas de búsqueda que permiten localizar objetivos vulnerables rápidamente, 


Es posible que en un sitio web determinado existan fugas de información sensible y esa información 
puede ser capturada y almacenada por Google. algo que hoy en día es bastante conocido y 
aprovechado por usuarios maliciosos en /nternet. Para controlar los resultados que pueden arrojar las 
búsquedas de Google, es necesario conocer el funcionamiento de algunos de los filtros disponibles 
a la hora de realizar consultas. A continuación se listan algunas de las palabras reservadas que 
permiten establecer dichos filtros, 


Operadores en Google. 


Operador Descripción Uso I Resultado 
Permite indicarelsitio |i i == d de n A 
Ж мене, e exploit enel 
E exploit XP SP2 эшо 
жағал изен "securipyfocus.conr" 
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Operador Descripción Uso I Resultado 
Basca un ато prunis 
ine determinado cacl islo | ммшеРлктака лад fiios 
pei =FreePBX 2.10.0 
Con este operador 
sc pueden fiar los Búsqueda de páginas 
resultados de una weh que contengan 
búsqueda, enseñando : en su URL el texto 
m solamente aquellas | [тсрс || “Ы? fitrando por las 
coincidencias que iunio a palabras “kernel 2.6" y 
contengan en la URL para cl sitio web 
el texto indicado en el securitfocus com 
operador. 


Búsqueda de cualquier 
siterwwstarget.com | documento PDF en el 
отр dominio 

mins targetcom 


Permite buscar 
м. documentos con una 
extensión determinada, 


Estos son solo algunos de los operadores disponibles para hacer búsquedas en Google, sin embargo, 
сото se ha comentado en líneas anteriores, actualmente existe una base de datos bastante completa 
Че Google Dorks llamada Google Hacking Database. 


СНОВ es un repositorio bastante completo de google dorks y puede encontrarse en el siguiente 
enlace: Antp://wwwexploit-db.com/google-dorks/. Una de las ventajas de esta base de datos, es que 
todos los dorks se encuentran ordenados por categorías, lo que permite filtrar fácilmente aquellos 
ue puedan resultar interesantes para un objetivo determinado. Las categorías que comprende la 
Base de datos son: 


= Footholds. - Ficheros con nombres de usuarios. 

- Directorios sensitivos. - Detección de Servidor web. 

- Ficheros vulnerables. - Servidores vulnerables. 

- Mensajes de error, - Ficheros con información interesante. 

ачаан -Información sensitiva sobre sitios de compra 
online. 

- Páginas de login а portales. - Información de dispositivos de red. 


Сото se puede apreciar, existe una gran cantidad de filtros en esta base de datos de dorks, pero 
жо no es todo, también existe una herramienta para la generación de dorks contra un objetivo 
determinado y de esta forma se pueden ejecutar ataques dirigidos contra un objetivo concreto, 
dicha herramienta es googleDB-too! y se encuentra disponible en la siguiente dirección: ир:// 
mom secpoint.com/freetools/. La última versión a la fecha de escribir este documento es la 1.5 y 
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permite generar listas de cadenas de büsqueda para google que pueden ser utilizadas para encontrar. 
información interesante o incluso vulnerabilidades en el sistema objetivo. Cuenta con una pequeña 
base de datos interna que consiste simplemente de un listado de ficheros con google dorks y todos 
estos ficheros se encuentran almacenados en el directorio "db" ubicado en el directorio raiz de la 
herramienta. En dicho directorio se pueden incluir nuevos ficheros con dorks que correspondan а 
una categoría distinta a las existentes. Si se une esta herramienta con los dorks existentes en Google 
Hacking Database, el resultado puede ser muy interesante a la hora de realizar ataques dirigidos. 


Después de descargar y descomprimir el paquete donde se encuentra la herramienta, es posible ver 
las opciones que soporta у algunos ejemplos de su uso. 


python googleDB-tool.py -h 
Usage: googleDB-tool.py «source 


e» [^s site] 


ms version number and exit 
help message and exit 


rate queries for the SITE 


e queries for multiple sites 
=q, query generate google query urls for each 
=t, html generate output in HTML format (i 


SecPoint.com Google Pene! 
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El siguiente ejemplo, enseña el uso de la herramienta y genera un fichero de texto llamado "salida. 
1x1" con algunos google dorks para encontrar páginas de login en el dominio “www.objetivo.com". 
Por otro lado, el fichero "login pages.tvi" se encuentra en la base de datos que utiliza la herramienta 
bajo el directorio “db” mencionado en párrafos anteriores. 

python googleDB-tool.py "login pages.txt“ -o salida.txt -з wiw.cbjetivo.con 


El siguiente ejemplo es bastante similar al anterior, con la diferencia que permite generar google 
dorks en base al fichero "nenvork. or. vulnerability data.txf" el cual contiene cadenas para buscar 
dispositivos y elementos de red vulnerables en el objetivo especificado. 

python googleDB-tool.py "network or vulnerability data.txt" -o salida.txt -s ww. 
ebjetivo.com 


También es posible utilizar un fichero de texto para especificar múltiples objetivos. 


python gocgleDB-tcol.py "network or vulnerability data.txt" -o salida.txt -m obje- 
tivos. txt 


1.4.2 Shodan Hacking 

Shodan (ht1p://www:Shodanhg.com) es conocido como "el Google de los hackers" y no es para menos, 
ya que se trata de un potente motor de búsquedas que permite encontrar servidores y dispositivos 
еп Internet que ejecutan servicios muy concretos. A diferencia de los buscadores convencionales, 
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Shodan se encarga de indexar en su base de datos interna, las cabeceras y banners correspondientes 
a servidores que se encuentran en ejecución en /nterner y que han sido indexados en la base de datos 
de Shodan. Del mismo modo que navegadores como Google, Shodan cuenta con una serie de filtros 
que permiten restringir los resultados de las consultas y algunos de los más populares, se listan en 
la siguiente tabla, 


Filtros en Shodan 


Filtro Descripción 


En los resultados de la búsqueda, solamente aparecerán aquellos que corresponden con 
la ciudad indicada. 


En los resultados de la búsqueda, solamente aparecerán aquellos que corresponden con 
el país indicado. 


city 


соту 


Permite encontrar los dispositivos que se encuentran en el radio definido por la latitud y 
longitud especificada. 

En los resultados de la búsqueda, solamente aparecerán aquellos que corresponden con 
el nombre de dominio indicado. 


Permite realizar búsquedas dirigidas a segmentos de red concretos. 


geo 


hosmame 


os Permite fiar los resultados con un sistema operativo determi 
port Permite filtrar los resultados con un puerto determinado. 


Se trata de una lista no exhaustiva y en la medida de que Shodan va creciendo, el número de filtros 
puede ser mayor, con lo cual, se anima al lector a leer la documentación oficial donde se incluyen 
los filtros soportados a la fecha wwneShodanhg.com/help/filters. Por otro lado, una caracteristica 
que convierte a Shodan en una herramienta imprescindible para un atacante o un pentester, es que 
cuenta con una AP/ que permite que desarrolladores en lenguajes de programación como Ruby, Perl 
y Python, puedan utilizar Shodan de forma programática, algo que desde luego resulta sumamente. 
ші. 

Para utilizar la API, es necesario tener una cuenta de usuario valida y de esta forma obtener una 
Developer Key. El uso de las características básicas de Shodan no supone ningún coste para un 
desarrollador, sin embargo existen add-ons que incluyen características muy interesantes, como 
тег cjemplo la capacidad de realizar búsquedas específicas para servicios como Telnet o HTTPS. 
жссего a todos los filtros disponibles desde la API y acceso sin restricciones a los resultados de las 
аа. Se trata de características que no son nada despreciables y que pueden ser adquiridas por 
=æ costo muy bajo. 


Descargar e instalar la librería de Shodan para Python sigue el mismo patrón que muchas de las 
= disponibles para este lenguaje. Es posible hacerlo utilizando easy install o directamente 
essendo el script setup. py con el argumento install. Instrucciones más detalladas sobre el proceso 
сол se pueden encontrar en la documentación oficial: hm:ps://Shodan.readthedocs.org/en/ 
3 taorial.umittinstallation. 
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El uso más básico de la API de Shodan para Python consiste en crear una instancia de la clase 
 Shodan.Shodan especificando como único argumento una Developer Key válida que se encuentra 
asociada a una cuenta de usuario. 


Script: ShodanSimpleSearch.py. 
Ml/uar/bin/env python 
import Shodan 
det ShodanTest(): 
теуі 
ShodanKeyString = “АРІ КЕҰ” 
ShedanApi = Shodan. Shodan (Shodenkey: 
results = ShodanApi.searcr (“apach 
for sesult in results "matches" 
print "IP: is % result[*ip str" 


ing) 


print resoiti'data'] 
print v 
except Shodan.APIErtOr, e: 


Con el script anterior, se utiliza la АР/ de Shodan para buscar por la palabra clave "apache" y 
posteriormente se pintan todos los resultados por pantalla. En este caso, se utiliza ln función search 
que permite realizar cualquier tipo de búsqueda, incluso empleando los filtros disponibles en Shodan. 


Por otro lado, tal como se mencionaba anteriormente, la АР/ permite realizar varios tipos de 
búsquedas, pero existen algunas limitaciones que restringen el número total de resultados retornados 
y el uso de protocolos como HTTPS y Telnet. Para saber las limitaciones que tiene una cuenta 
concreta a la hora de utilizar la API y los add-ons que tiene habilitados, se utiliza la función info 


Script: ShodanDeveloperKeyInfo.py 
42/us=/b4m/0nv python 


import Shodan 
def ShodanTest 1) : 
теуі 


Shodanxayetring = “АРІ KEY" 
Bhodanăpi = Shodan. Shodan (Shodankeystring) 
info = ShodanApi.info() 
for inf în info 

Mos da * Min, info[inf]) 


Еп este caso, se pintan por pantalla los detalles de configuración relacionados con la cuenta de 
usuario que ha creado la instancia de la clase Shodan.Shodan. En el caso de que la cuenta de usuario 
tenga los add-ons de HTTPS y Telnet habilitados, aparecerá lo siguiente: 
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»python simpleShodan.py 
https: True 
inleeked left: 100 


unlocked: True 


Otra característica muy interesante que tiene la АР/ de Shodan, es la posibilidad de utilizar “facetas”, 
las cuales permiten generar agrupaciones de datos para su posterior análisis. El uso de las facetas, 
permite obtener información global sobre los registros que se encuentran almacenados en la base. 
de datos de Shodan, por ejemplo, sería posible extraer los “л” países que tienen el mayor número 
de servidores web con Apache o NGNIX. Para utilizar esta característica, la función count permite 
obtener el número total de registros de una búsqueda sin retornar los registros encontrados. 


Script: ShodanSimpleFacets py 


fl/usr/bin/env python 
import Shodan 


(dona? 1), 

(port^, 15), 

(an^, 10), 
л), 


FACET TITLES = | 
"erg: “Төр 15 Organizations", 
"domain': "Top 15 Domains", 
sports "Top 15 Portat, 
tasn’: "Top 10 Autonomous Systems”, 
"eeumtry': "Top 15 Countries", 


tey: 
арі = Shodan. Shodan (“АРІ 
result = api.count("ngnix*, 
print "Total Results: Ws n^ % remult['total'] 
for facet in result['facetz']: 
print ҒАСЕТ TITLES facet] 
for term in 
print va 
= Exception, e. 
Print “Error 


Ms" а (terni value'], tera[*count]) 


Con el script anterior se realiza una búsqueda con el filtro “apache” y se pintan por pantalla los 
sesultados correspondientes a las facetas que se han incluido en la variable FACETS. 


Además de realizar búsquedas globales sobre todos los registros almacenados еп Shodan también 
existe la posibilidad de realizar búsquedas concretas contra un segmento de red particular, del mismo 
| кодо que se puede hacer con el filtro ner, sin embargo, para hacer esto desde la АР/ de Shodan, se 
emcsentra disponible la función host la cual admite una dirección /P como argumento. 
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Script: ShodanSimpleSearchHost.py. 

+! /asz/bin/env python 

import shod 

det ShodantestO : 
чу: 


ShodanKeyStzing = “АРІ K3 
"Gar (ShodanKeySeri 
host (7185.94.42 


resuits[resuic]) 


print + 


Сото se puede apreciar en el script anterior, se ejecuta una búsqueda en Shodan contra la dirección 
ІР que se ha especificado como argumento en la función hos! y luego se pintan los resultados por 
pantalla. 


Finalmente, las últimas versiones de la librería, a la fecha de escribir este documento, incluyen 
nuevas características que permiten acceder еп tiempo real a los datos que Shodan se encuentra 
analizando en el momento. Se trata de una característica que permite obtener información adicional 
que no se encuentra indexada en Shodan, ya que toda esta información es filtrada y solamente un 
conjunto limitado de los datos analizados son indexados en el motor de búsqueda, 

No obstante, el uso de esta característica tiene restricciones bastante considerables, ya que en 
primer lugar, solamente la pueden utilizar aquellos que paguen un plan de suscripción y por defecto 


solamente retorna un uno por ciento (1%) de la totalidad de los registros que recolecta Shodan en 
Internet. En el caso de querer tener acceso a más datos, es necesario solicitar información sobre los 


precios, 
En cualquier caso, tal como mencionaba anteriormente, las características que ofrece Shodan son 
muy valiosas para un pentester y tiene un costo bajo. 

Script: ShodanRealTime.py 


+! musz/bin/env python 


import Shodan 
import sys 
teys 


арі = Shodan.Shodan (“API_KEY") 
for banner in api.stream.sorte([443]): 
3£ "opta in banner and "pom in Баплег “9 


print banneri'opts']['pen'] 


except Exception, e: 
print ‘Erroi 
n 
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Сое el script anterior, es posible recuperar los certificados que están siendo procesados por Shodan 
== ei momento y pintar por pantalla la información de cada uno. Además de las funciones explicadas 
== esta sección, también existen otras funciones y clases que se encuentran incluidas en Shodan y 
«== puedep resultar interesantes рага el lector. Se recomienda leer la especificación de las funciones 
y clases disponibles en la API desde el siguiente enlace: Arrps://Shodan.readthedocs.org/en/latest/ 
аньт. 


1.5 Ingeniería Social 


Us atacante en el mundo real, normalmente no solamente se interesa en atacar sistemas y explotar 
Sæaiquicr tipo de vulnerabilidad, los vectores de ataque utilizados con mayor frecuencia contra 
empresas y diferentes tipos de organizaciones han sido aquellos que se centran en engañar y 
Sssipular a sus empleados para conseguir información confidencial o acceder a zonas restringidas. 
La ingeniería social se basa en el hecho de que en algunas ocasiones es mucho más fácil y efectivo 
“explotar la "infraestructura humana” que una arquitectura de sistemas debidamente asegurada, 


Че ingeniero social, utiliza las herramientas y los conocimientos que tiene a su disposición para 
seseguir que una persona realice tareas que son acordes a sus intereses particulares, tales como 
эсседе a información, acceder a zonas o espacios restringidos, obtener beneficios de cualquier tipo, 
«==. Dichos conocimientos se basan en algunas características propias de la psique humana y que 
тег ende, ез dificil para una empresa u organización contar con medidas de protección eficaces que 
itoso. Es por este motivo, que muchas de 
Js organizaciones más reconocidas en el mundo de la seguridad informática, tales como Symantec 
Šas incluido la ingeniería social como una de las principales causas de divulgación de información 
sessitiva en los últimos años, produciendo perdidas de millones de dólares a empresas públicas у 


privadas cada año. 
¡Las principales técnicas empleadas por ingenieros sociales, actualmente se encuentran plasmadas y 
жыёгэдаз con un nivel de profundidad bastante aceptable en múltiples libros de texto, sin embargo, 
ee de los mejores recursos que se puede encontrar en Internet sobre este tópico, es el Social 
Engincering Framework. 


1.5.1 Social Engineering Framework 

El Social Engineering Framework es un conjunto de herramientas y recursos útiles para el estudio 
de las técnicas е innovaciones más recientes en el área de la ingeniería social. La información que 
mate el framework trata de definir los principios básicos de la ingeniería social asi como algunas 
de das "debilidades" de la psique humana que suelen atacar los ingenieros sociales para conseguir 
ж= sèjetivos por medio de la manipulación y el engaño. Los pilares de este framework se listan 
“a coneuación y se incluye un breve resumen para su mejor comprensión. Todos los recursos y 
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herramientas incluidos en este framework pueden encontrarse en la siguiente dirección: A/tp://www 
social-emgineerorg/framework/Social_Engineering_Framenork. 


1.5.1.1 Recolección de Información 

Se trata del proceso de recolectar y almacenar de forma ordenada toda la información que sea 
posible conseguir sobre los recursos humanos del objetivo en cuestión, Para llevar a cabo este 
proceso, se suelen utilizar herramientas informáticas especializadas para dicho fin, así como también 
cualquier tipo de dato que pueda ser obtenido en Internet o en otros medios tales como diarios, guías 
telefónicas, mapas sobre la ubicación fisica del objetivo, entre otras fuentes. 


Este es un proceso que requiere habilidad y creatividad para encontrar cualquier tipo de información 
sobre el objetivo, incluso en los sitios menos usuales, como por ejemplo en los contenedores de basura. 
de una empresa, allí es posible encontrarse con documentos o medios digitales con información 
importante que no se han destruido por completo y que permiten a un ingeniero social tener los 
elementos necesarios para elaborar cuidadosamente su ataque. 


1.5.1.2 Elicitación 
La traducción al castellano más cercana al término “Elicitation” es "Elicitación". Se trata de uno 
de los aspectos más importantes еп el estudio de la ingeniería social y probablemente, el elemento: 
más importante del framework. Este término, describe la habilidad que tienen los ingenieros sociales 
para generar estímulos que provocan o alteran el comportamiento habitual de otras personas. Esta 
habilidad, frecuentemente se basa en utilizar la simpatía o producir sentimientos agradables sobre 
el objetivo, ya que es mucho más fácil extraer información valiosa cuando una persona se siente 
abierta, confiada y relajada, La NSA (National Security Agency) de los Estados Unidos de América, 
define el término "£licitarion" como: “La habilidad de extraer información de forma sutil durante 
una conversación aparentemente normal e inocente”. Se trata de una habilidad muy poderosa que 
funciona bastante bien dado que encaja con algunos principios psicológicos que son destacados en 
las interacciones humanas, tales como: 

=  Loshumanos tienden a ser amables y cordiales, especialmente con personas desconocidas. 

- Los profesionales de cualquier área, quieren parecer bien formados y que dominan sobre 

los temas tratados en una conversación. 

- Muchas personas cuando reciben halagos, suelen ser más abiertas y tienden a divulgar 

información fácilmente. 

- Muchas personas suelen responder rápidamente a las preguntas para parecer preocupados 

y atentos durante el proceso comunicativo. 

- Muchas personas suelen estar más atentas a prestar su ayudar y pueden divulgar 

información cuando perciben una posible compensación económica, reconocimiento o 

simplemente agradecimiento. 

- Muchas personas buscan la aceptación de otros siendo amables, educados y simpáticos, 
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de esta técnica, es extraer la mayor cantidad de información de una persona utilizando 
“sencillas y mantener el interés en la conversación, para conseguir dicho objetivo, es 
explotar algunos de los aspectos psicológicos anteriormente mencionados y llevar la 
por el camino que le resulte conveniente al atacante. 


„õe la habilidad de crear un escenario inventado con el fin de persuadir a una persona а 

isformación o ejecutar alguna acción. Para que dicho escenario pueda dar los mejores 

s necesario que el ingeniero social pueda despertar un sentimiento de confianza en la 

si esto no es posible, como en todas las relaciones humanas, la otra persona no podrá 
persuadida a entregar información o realizar alguna acción. 


Principios Psicológicos y PNL (Programación NeuroLingüística) 

| Мрстоз principios psicológicos que son importantes desde el punto de vista de la ingeniería. 

indo que permiten conocer costumbres, modos de pensar, aptitudes y actitudes en la otra 

¡Uno de estos principios consiste en conocer, mediante el proceso comunicativo, cuáles son 
те la otra persona tiene más desarrollados. 


о, hay personas que perciben el mundo con mayor agudeza utilizando la vista, mientras 

сез que lo hacen utilizando cl oído o el tacto. Para un ingeniero social es importante saber 

es, ya que de esta forma puede comunicarse de una forma mucho más eficiente y eficaz 

жє жесгїюсшог. En realidad se trata de conceptos que son un poco más complejos de lo que 

у requieren mucha practica para poder llegar a dominarlos en conversaciones habituales. 
personas. 


entre los patrones de comportamiento y conducta, teniendo en cuenta variables externas. 
s el contexto y las condiciones en las que se establece la comunicación con otras personas. 


PNL, esta frase cobra mucho sentido, dado que se trata de analizar el comportamiento de las 
105 modos de pensar, la forma en la que expresan sus pensamientos, su lenguaje corporal y 
cultural, En este punto adquiere mucha importancia el concepto de las microexpresiones, 
em expresiones faciales que se dan de forma espontánea е inconsciente y que reflejan las 
cs que experimenta una persona en un momento determinado. Han sido objeto de muchos 
por parte de múltiples investigadores y psicólogos, sin embargo, los trabajos del Dr: Paul 
ban sido los que han aportado mayores avances en área de las emociones humanas durante 

o comunicativo y sobre todo, en la detección del engaño. 


Ses atajos han revelado que las microexpresiones son independientes de factores culturales o 


5..5. además ha podido categorizarlas en grupos de emociones positivas y negativas. Para un 
тестте social, el entrenamiento continuo sobre el manejo de las microexpresiones, asi como del 
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lenguaje verbal y corporal son una de sus prioridades, ya que saber controlar estos factores durante 
una conversación, le permitirán tener cierto control sobre los eventos que se produzcan en la misma. 


1.5.1.5 Influencia 

Finalmente, este pilar del framework consiste en la definición de técnicas de manipulación e influencia 
sobre otros. Dichas técnicas se basan de forma directa en los conceptos explicados anteriormente, 
los cuales le brindan las herramientas necesarias a un ingeniero social para elaborar situaciones que 
le permitan tener cierto nivel de control sobre otras personas. 


En este punto, las tácticas definidas en el framework son: 


- Reciprocidad: Le permite a un ingeniero social influenciar a otra u otras personas 
basándose en el principio psicológico de “reciprocidad”, el cual está fuertemente instaurado. 

en la cultura occidental. De esta forma la otra persona tendrá un sentimiento de obligación 

moral, social, contractual o incluso legal (aunque sen ficticio), obligándole a llevar a cabo. 

alguna acción o simplemente divulgar información. Este principio, solemos aplicarlo día a 

día de manera casi que inconsciente, por ejemplo, cuando dejamos libre un para sentarse. 
a una persona mayor en el autobús o cuando ofrecemos nuestra colaboración en cualquier | 
asunto laboral o académico a un compañero. Aunque se trate de ejemplos bastante c 
un ingeniero social con buenas habilidades, puede elaborar contextos mucho más sofistic 
para explotar dicha condición en la naturaleza de los seres humanos para influenciar el 

comportamiento de otros. 

- Escasez: Se trata de una táctica frecuentemente usada para crear un sentimiento de! 
urgencia en un contexto de toma de decisiones, obligando de esta forma a una persona a 
tomar decisiones que no siempre siguen los intereses particulares de la víctima, sino que 
buscan satisfacer los intereses del ingeniero social. Se trata de una técnica utilizada con, 
mucha frecuencia por vendedores para hacer que los compradores actúen de forma rápida, 
creando un sentimiento de escasez de un producto o servicio determinado. Este mismo 
concepto aplica en muchos contextos, tales como la economía, la política, entre otros. Es 

una táctica muy poderosa que puede ser utilizada para influenciar el comportamiento de las. 
personas y manipular sus decisiones en función a los intereses del ingeniero social. 

- Autoridad: Un ingeniero social puede obligar a otra persona a realizar algún tipo de 
acción o divulgar información basándose en la legitimidad que le otorga un puesto de mando 
en una empresa, estatus social o autoridad legal. Dicha autoridad puede ser real o ficticia 

y suele ser parte del contexto elaborado por el ingenicro social para cumplir sus objetivos. 
En cualquier caso, la elección del tipo de autoridad que puede asumir como propia ш 
ingeniero sociai, dependerá directamente de los incentivos y características del objetivo. Por. 
ejemplo, si el objetivo es un militar o un policía, probablemente sea mucho más eficiente 

elaborar un contexto de autoridad jerárquica simulando un alto mando para influir sobre el 

comportamiento y las decisiones de dicha persona. Otro ejemplo del uso de esta táctica, que 

suele ser muy eficiente, es por medio de la autoridad legal, donde un ingeniero social puede 

alegar legitimidad en el acceso a información sensible, basándose en argumentos legales que 

aunque puedan parecer legítimos, frecuentemente son inválidos. 
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- Gustos: Muchas personas suelen ser más propensas a ser influenciadas por objetos o 
personas que son acordes a sus gustos. Si el ingeniero social conoce estos detalles sobre 
su objetivo, puede elaborar un contexto controlado que le permita acceder a información 
sensitiva o hacer que el objetivo lleve a cabo alguna acción que cumpla con los intereses 
del ingeniero social. Los gustos de una persona, evidentemente no son una medida lineal y 
pueden cambiar considerablemente entre diferentes personas o incluso entre modas y épocas, 
рог este motivo, es necesario conocer los gustos y aficiones del objetivo para crear el contexto 
adecuado y poder influenciar su conducta, 


Estos han sido, a grandes rasgos, los pilares fundamentes sobre los que se basa el framework, зіп 
embargo, también existen herramientas tanto fisicas como automatizadas que facilitan su aplicación. 


1.5.1.6 SET (Social Engine Toolkit) 
SET es una herramienta escrita en Python que se enfoca principalmente en la explotación del “factor 
sro” y ha sido específicamente diseñado para soportar los conceptos teóricos y prácticos 
expuestos en el Social Engineering Framework. 


El objetivo de esta herramienta es el de servir como punto de apoyo de un ingeniero social soportando 
anios tipos de ataques del tipo “Client-Side” con el único fin de comprometer el espacio de trabajo 
41 mayor número de usuarios posible. 


Algunos de los tipos de ataque que soporta se listan a continuación 
- Spear-Phishing Attack Vector. 
-Infectious Media Generator. 
= Java Applet Attack Vector. 

- Metasploit Browser Exploitation. 
~ Credential Harvester Attack. 

- Tabnabbing Attack. 

= Man Left in the Middle Attack. 

- Web Jacking Attack. 

+ Multi-Attack Web Vector. 

= QRCode Attack. 


Además de estos tipos de ataque, también le permite a los desarrolladores crear módulos que se 
gacdan incluir directamente en la herramienta. 


1.5.6.1 Desarrollo de Módulos en SET 

Aunque se trata de una herramienta que permite establecer rápidamente distintos vectores de ataque, 
da ventaja de crear módulos propios o incluso reutilizar otros escritos por terceros, es una de las 
caracteristicas más potentes que tiene esta herramienta. 
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El procedimiento es sencillo, solamente es necesario incluir en el directorio *«SET /NSTALL»/ 
modules” uno o varios ficheros Python (* py) que contendrán las rutinas que serán ejecutadas por el 
módulo. Todos los scripts incluidos en dicho directorio, serán cargados en SET bajo la opción “Thrid 
Party Modules”. 


A continuación se incluye un módulo simple que se puede cargar en SET. Nótese el uso de las clases 
y utilidades ya incluidas en la herramienta. 


Script: setSimpleExample.py 


MAIN-"Simple Module” 
AUTHOR="Adastea” 
def 


Ck("htrpr//thehackoruay cem", “80%, а/е) 


En el script anterior, la función main es obligatoria, ya que será la función que SET ejecutará 
automáticamente. Por otro lado, el módulo core contiene todas las utilidades y funciones que incluye 
el framework y que un desarrollador de Py1hon puede utilizar desde sus propios scripts. 


En este caso concreto, solamente se utiliza la función core ava applet attack la cual se encarga 
de clonar un sitio, iniciar un servidor web con Мейазріой en el puerto 443 y finalmente ini 
handler de metasploit para recibir cada shell reversa de las victimas. 


applet attack, existen algunas otras que permiten combinar varios. 
ataques desde un ünico módulo. Un ejemplo un poco más concreto y que extiende las funcionalidades 
de SET se puede apreciar en el siguiente scripr. 


Script: serFunctionsExample.py 


import + 
import sys 
p lti-use моды: 
AUTHOR="Adastza" 
def paint) 
site cloner(" 
print check os() 
print meta рак) 
print meta database() 
iphddress = grab ipaddress() 


p://thehackervay.cos","rhw/", **) 


cp", iphdáress, "31337") 


web server ("thw/7) 
Сапа) 
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El script anterior utiliza varias de las funciones disponibles en SET y que están a disposición de 
cualquier desarrollador. En primera instancia, sc ejecuta la función site_cloner para extraer los 
contenidos web de un dominio determinado para posteriormente poder crear un “fake site”. Las 
siguientes funciones se encargan de realizar tareas variadas, tales como determinar la versión del 
sistema operativo, obtener información relacionada соп el directorio de instalación de Metasploir 
Framework y determinar si una la dirección /P local es válida. La función generate_shellcode se 
encarga de generar un shellcode ejecutando la utilidad msfienom de Merasploir Framework. La 
fonción generate_random_string toma el rango de valores entre 1 y 35 para generar una cadena 
aleatoria y finalmente, las funciones мал web server y start. ns se encargan de iniciar un servidor 
web y un servidor DNS en la máquina local respectivamente. 


Algunas de las funciones disponibles en SET para utilizarlas desde cualquier módulo, se pueden 

apreciar a continuación: 
- site cloner(website, exportpath, *args): Permite clonar un sitio web y almacenarlo en 
el directorio especificado. Si se ejecuta lo siguiente: core.site_cloner ("I1p://www:google. 
com", "google/”) el contenido del sitio Jurp:/%ww:google.com será almacenado en el 
directorio "google". 
- тей рат: Permite conocer el directorio de instalación de Merasploir Framework (el 
que se encuentra definido en el fichero de configuración "ser сол 
- check рехресі0: Verifica si la librería Pexcepr se encuentra instalada en el sistema. 
- check beautifulsoupt): Verifica si la librería BeaurifulSoup se encuentra instalada en el 
sistema. 
- update кең): Actualiza la versión de SET. 
- update metasploit(): Actualiza la versión de Metasploit Framework. 
- help menu(): Enseña el menú de ayuda contextual de SET. 
= date йтеб: Retoma la fecha y la hora. 
= generate random string(low, high): Genera una cadena aleatoria entre low y high. 
- ман web, server(dir): Inicia un servidor web en el directorio especificado. 
- мағ web, server. unthreaded(dir): Inicia un servidor web en el directorio especificado 
en un único hilo de ejecución. 
- ирхфйе): Codifica el fichero especificado utilizando UPX. 
= show graphic): Enseña una opción aleatoria del menú principal. 


Ж el lector se encuentra interesado en profundizar айп más еп el desarrollo de módulos en SET se 
==omienda leer la sección correspondiente en el manual de usuario alojado en el directorio “<SET_ 
INSTALL >/readme/User. Manual pdf". Además, también es muy instructivo leer el código fuente 
Ча proyecto, más concretamente los ficheros “<SET_INSTALL>/sre/core/setcore.py" y “<SET_ 
AROOT- /src/core/set.py" los cuales contienen las funciones que se han descrito anteriormente, así 
“aso otras que están disponibles y que pueden ser de utilidad para el desarrollador. 
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1.5.2 Maltego 

Maltego es una herramienta diseñada con el fin de recolectar y estructurar diferentes items de 
información de una forma visual muy fácil de comprender. Los йет» pueden ser dominios en Internet, 
sitios web, direcciones de correo electrónico o incluso información personal. Es una herramienta 
muy valorada y utilizada en las primeras etapas de recolección de información ya que se permite 
ejecutar búsquedas por datos personales o información relacionada con una organización concreta 
Para realizar estas búsquedas, es necesario ejecutar una transformación, que es simplemente una 
acción en Maltego que permite especificar el tipo de búsqueda que se debe realizar. Por ejemplo, 
se puede especificar que se realicen búsquedas en servidores SMTP públicos por una dirección 
de correo electrónico concreta, búsquedas por números de teléfono asociados a una persona o 
simplemente, todas las transformaciones disponibles en Maltego para recuperar la mayor cantidad 
de información posible. 


Si se quisiera indagar sobre la información pública de una persona y cualquier otro detalle que 
pueda ser de interés, partiendo de su cuenta en twitter, se puede crear un nuevo proyecto en Maltego 
y seleccionar el nodo "Personal" en la paleta ubicada a la izquierda, tal y como se enseña en la 
Siguiente imagen 


Imagen 01 01: Creación de un objeto “Afilanion Twitter” en Maltego. 


Posteriormente, solo es necesario ingresar la información de la cuenta a buscar y sobre el elemento 
creado en el panel centrar, ejecutar cualquiera de las transformaciones disponibles pulsado click 
derecho sobre el objeto, 


Las imágenes 01.02 y 01.03 enseñan las relaciones creadas después de ejecutar las transformaciones 
sobre la cuenta en лейте” deseada. 
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Imagen 01.02: Establecimiento de los datos de una cuenta en witter 


Imagen 01.03: Resultado de las transformaciones ejecutadas desde Maltez. 
кла se trata de un ejemplo muy sencillo, demuestra la potencia y simplicidad de esta 
Lenta. que no solamente se limita a la búsqueda y recuperación de información de personas y 
ones, sino que también permite realizar búsquedas sobre la infraestructura de un sistema, 
io o una URL, recolectando toda la información disponible por medio de las 


"n 


web, domi 
iones definidas. 


ython para Pentesters. 


La imagen 01.04 enseña los resultados de ejecutar todas las transformaciones disponibles en Maltego 
para un sitio web determinado. Como se puede apreciar, se han encontrado datos relacionados con 
la infraestructura del sitio web que pueden ser muy útiles para elaborar un vector de ataque contra 
el sitio web en cuestión. 


Imagen 01.04: Información sobre la inftacstructura de un sitio web utilizando Maltego, 


1.5.2.1 Canari Framework 

Aunque las transformaciones incluidas en Maltego son suficientes сп la mayoría de los casos, es 
posible crear transformaciones propias o utilizar otras escritas por terceros. En el caso de Canari 
Framework, un atacante cuenta con una potente herramienta para crear transformaciones que pueden 
integrarse fácilmente en Maltego utilizando Python. Una de las caracteristicas más llamativas 
y potentes de Canari es que utilizando su API es posible abstraer muchas de las complejidades 
que implica desarrollar transformaciones en Maltego y le permite a un desarrollador enfocarse 
¡rectamente en la lógica que desea implementar para extraer. filtrar y enseñar información útil. 


1.5.2.1.1 Instalación de Canari Framework 
Para instalar Canari, es necesario tener una versión de Python superior a la 2.7 y tener instalada la 
librería seruptools para ejecutar easy. install cómodamente. 


Con el comando anterior, se instalan automáticamente todas las dependencias necesarias para poder 
ejecutar Canari Framework y comenzar a crear transformaciones en Maltego. 


El proceso de instalación es muy simple y a la fecha de escribir este documento, Canari es soportado 
en sistemas Windows, Linux y MacOS. Si el lector tiene cualquier dificultad a la hora de instalar 
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Canari, se le invita a leer la sección correspondiente de documentación oficial en el siguiente enlace: 
Жар //nwwcanariproject.com/nstalling-canari/ 


1.5.2.1.2 Transformaciones locales y remotas en Canari Framework 
Uso de los conceptos clave a la hora de trabajar con Canari Framework, es conocer el proceso de 
теәсібп y ejecución de transformaciones locales y remotas. Las transformaciones son funciones 
qc se ejecutan directamente contra una instancia de Maltego y los resultados de la ejecución de 
dichas funciones son notificados por medio del canal srdow (salida estándar del sistema). 


Eas ransformaciones locales y remotas funcionan exactamente igual, la diferencia cs simplemente que 
ds transformaciones remotas pueden ser alojadas en un servidor de distribución de transformaciones 
sfarm Distribution Server. TDS) que es gestionado y administrado por Paterva (organización 
desarrolla y mantiene Майедо). Las ventajas de las transformaciones remotas son evidentes, en 
ugar son fáciles de distribuir sobre múltiples instancias de Maliego. lo que le permite a los 
lladores compartir sus transformaciones con otros usuarios, Además, Paterva se encarga de 
izar los derechos de autor sobre las transformaciones que son subidas al TDS, protegiendo de 
forma las transformaciones creadas por cada desarrollador. Esto es muy útil en el caso de querer 
ializar transformaciones y distribuirlas fácilmente a cualquier cliente. 


1.3 Desarrollo de Transformaciones con Canari Framework 
de que Canari es instalado, la utilidad por linea de comandos canari permite, entre otras 
crear transformaciones muy fácilmente con el argumento ereate-package. 
Lo the Can аскада wizard. 
you like to specify awcborebip informasion? [Y/n]! Y 
description 11: Сапат: 


his information? [Y/n]: Y 
akeleton in canariTransform 
directory Transform 
directory 


canariTranaform/szc/canarl 
талакїтгапа!огп/зте/сапаг 
ATranstora/stc/canar! 
n/arc/canaziTranstorn/ resourcez/et 
orm/ste/eanariTranstozn/zesoureea/inages 
nariTranetora/ resources /external 
directory 
file canariTranaforr/ .canarl. 
fe canariTransforn/setup.py 
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creating file carariTrensform/src/cs 
cre canariTransform/sre/canariTransforn, 
Creating file canariTransfore/src/canariTraneform/resou-ces/lmagai/ ру... 
iTransform/src/canariTransfczn/. 
'anariTransforn/src/canariTransfi 
:azlTranaform/szc/cana 


ransforms/ init 
ransforns /he11ewoz1d.py. 
form/transforms/common/ init. .py... 
atorn/cransforms/common/antiti88 py... 


creating Ше canariTranstore/src/canariTei 
ing file canariTransform/arc/canari: 
ing Ше cansriTransform/src/canari 
creating lile canaziTranaform/src/can 
done! 


Al ejecutar el comando anterior, se ha solicitado información sobre la transformación a crear y el 
autor. En el caso de crear un esquema base, se instalan una serie de paquetes y ficheros Pyrhon que 
permitirán crear las transformaciones rápidamente. 


Al mirar detenidamente en el log generado por la herramienta, se puede ver que se ha creado un 
fichero con nombre hellowor/d py y en dicho fichero se pueden comenzar a crear las transformaciones 
que posteriormente se ejecutarán desde Maltego. 


El fichero canariTransformásre/canariTransform/transforms/helloworld py contiene la información 
suministrada anteriormente y dos funciones con el decorador @configure, la primera de ellas es 
dotransform la cual recibe como argumentos la petición y la respuesta. Se trata de la función principal 
de la transformación ya que es invocada cuando desde la interfaz visual de Maltego se intenta 
aplica la transformación en cuestión. La segunda función es onierniinate y es invocada cuando la 
transformación ha finalizado su ejecución, con lo cual es útil principalmente para realizar tareas de 
limpieza y liberación de recursos. 


1.52.1.4 Instalación de Transformaciones en Maltego 
Para instalar la transformación y poder utilizarla directamente desde la interfaz de usuario de Malrego, 
es necesario ejecutar la utilidad canari con el argumento install-package sobre el directorio donde se 
encuentra el código fuente (en este caso, en el directorio src). 

>canazi inetall-package canariTransfare 


Writing canari.-onfi to /hose/adastra/.canari. 
Writing canariTransform/resoueces/erc/canariTranetos 


f to /hone/adastra/.cana- 


ri/canariTvansforn.conf 
Updating /home/adastra/.canari/canari.conf. 
Апаста: 


Looking for transforms instorm. 
Installing transform сай form.vl.MycanaricransformtnticyTePhrase HelleHorld 


fron canariTranaforr.transforms.helloworld... 


Además de lo anterior, también es necesario ejecutar el script serup.py que se ha creado de forma 


automática en el momento de crear el paquete e ingresar el argumento install. Es importante realizar 
estos dos pasos para que Maltego ejecute correctamente la transformación que se ha creado y pueda 


encontrar las dependencias necesarias. 


»python setup.py install 


Cue estos dos pasos, es suficiente para tener disponible la transformación desde la interfaz de 


laitego y solamente sobre los Шет» establecidos en el decorador (Econfigure tal como se ha 
cado anteriormente. 
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2 Transformaciones de Shodan en Maltego 

on Canari Framework es posible crear transformaciones personalizadas, también existe 
idad de utilizar transformaciones desarrolladas por terceros y en el caso de Shodan, hay 
apa serio de transformaciones que pueden ser utilizadas para realizar búsquedas directamente contra 
Bestes desde Maliego. Las ventajas saltan a la vista, en primer lugar se puede estructurar toda la 
0а disponible sobre un objetivo desde la interfaz de Maltego y posteriormente realizar 
Shodan utilizando las entidades cargadas en la paleta. El enlace para descargar las 
ciones es el siguiente: hmps://maltego.Shodan.io/ 


Bus instalar esta transformación o cualquier otra creada por un tercero, es necesario seleccionar 
ego el menú Manage y seleccionar la opción Import entities desde donde se pedirá un 
ados los recursos necesarios para la creación de las entidades. 


те con extensión тиг o mgr соп 


vore 


| 


v 
І 


0105: Importación de Entidades еп Maltgo. 


е han instalado las entidades, el siguiente paso es gestionar las transformaciones y para 
Bie es necesario seleccionar en cl menú Manage la opción Discover Transforms. 


Due les pasos anteriores, se crean dos elementos nuevos en la paleta de la izquierda, los cuales 
miza servicios en Internet y exploits que se pueden buscar en múltiples repositorios desde 
ELA. Además de lo anterior, se puede cargar en el panel un elemento del tipo Phrase y comen: 
quedas. 
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Imagen 01.06: Ejecución de la transformación scarchShodan (1 parts) 


Después de ingresar una Developer Key valida, es posible ejecutar la transformación y recuperar 
un conjunto de entidades que representan los mismos resultados que se podrían obtener desde un 
script en Python o el sitio web de Shodan, con la diferencia de que en esta ocasión se generará un 
conjunto de entidades nuevas en la paleta de Maltego a las que es posible seguir aplicando otras de 
las transformaciones disponibles en la herramienta. 
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Ls combinación de Maltego con Canari Framework y las transformaciones que brinda Shodan, 
senstituyen un marco de trabajo muy potente que en las manos de un atacante con la firme intención 
Ж hacer daño, puede representar un riesgo muy serio para organizaciones y empresas de todo tipo, 
especialmente cuando el objetivo del ataque es la infraestructura humana de la organización. 


6 Análisis de Metadatos con Python 


metadatos constituyen una parte importante de cualquier documento y contienen información 
1 sobre las fechas de creación/edición, autor, herramienta utilizada para la creación del 
nto y otra información que puede ser útil de cara a un análisis forense. Han sido muchos los 
еп los que se han utilizado los meradaros de un documento para capturar atacantes en /nterner. 
auténticos criminales. Probablemente el caso más conocido ha sido el caso del asesino en 
conocido como BTK (Bind. Torture and Kill), al que se le atribuían varios asesinatos entre los 
1974 y la década de los 90 en los alrededores de la ciudad de Wichita, Kansas. Fueron más de 
¡años en los que la policía no tenía pista alguna sobre el autor de los asesinatos, el cual enviaba 
a la policía y a las agencias de noticias locales en las que daba instrucciones específicas sobre 
imiento utilizado para asesinar a sus víctimas. 


ei año 2004, el caso se encontraba en un punto muerto y aunque se contaba con el ADN del 
ninguna de las pruebas realizadas con los sospechosos y otros habitantes de la zona eran 
rentes. Ese mismo año, ВТК envió un mensaje a la policía en el que preguntaba si era posible 

зи identidad si mandaba un CD, la policía en un intento por obtener más pistas, contesto 

para ellos era imposible conocer su identidad o su ubicación solamente con un CD: aunque 
¡aquel año ya se contaba con las herramientas necesarias рага extraer metadatos e información 


1 sobre cualquier tipo de documento. BTK envio un CD que contenía un único fichero en 
RTF. el cual contenía varios metadatos que fueron vitales para localizar y capturar a BTK.. 
Šos metadatos, se incluía el campo "autor" con el valor "Dennis" y había una asociación con la 
sa Lurerana de Wichita, lo cual permitió a la policía limitar enormemente la búsqueda. Dennis 
era uno de los diáconos de dicha iglesia, el autor del documento y de los asesinatos. 


año 2005 fue arrestado por la policía de Wichita y ese mismo año, confeso los crímenes 
5dos delante del juez y el jurado. El caso de Dennis Rader no ha sido el único caso en el que 
como la policía han utilizado los meradatos para encontrar el autor de un documento, otro 
reciente y desde luego. mucho menos escatológico, fuc el caso de uno de los integrantes 
mous llamado Alex Tapanaris, el cual fue detenido por la policía griega tras examinar. 
лоз de uno de los documentos del grupo hacktivista en el que se explicaba la opera. 
la cual consistia en una serie de ataques de denegación de servicio distribuido contra 
empresas y multinacionales. La policia logro determinar que Alex Tapanaris era el autor de 
¡documento tras examinar los metadatos incluidos en el fichero PDF y unos días después fue 
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En los últimos años, el uso de los metadatos para determinar el autor de un documento o incluso su 
ubicación geográfica, ha sido una forma bastante empleada por la policía y por los delincuentes para 
acceder a información sensible que evidentemente, los autores no descarian exponer públicamente. 


En Python existen varias librerías que pueden ser utilizadas para automatizar la extracción de dicha 
información, a continuación se explica el uso de algunas de ellas. 


1.6.1 Análisis de metadatos en documentos PDF con PyPDF2 

PyPDF es una librería que permite manipular documentos PDF. así como la posibilidad cifrar o 
descifrar documentos y desde luego, extraer sus metadatos incluidos. Es una libreria cuyo desarrollo 
ha sido abandonado por su autor, sin embargo se ha creado una bifurcación del proyecto para 
continuar con el desarrollo de nuevas funcionalidades y la solución de problemas existentes en la 
versión original. Dicha bifurcación ha dado lugar a la librería 2+PDF?, la cual implementa algunas 
mejoras con respecto a su predecesora en términos de calidad de código y funcionalidades añadidas 
Para descargar la librería, es posible hacerlo automáticamente con la utilidad pip, clonando el 
repositorio G/To descargando manualmente la última versión estable, la cual se encuentra disponible 
en el siguiente enlace: htips://pypi.python.org/pypi/PyPDF 2. 


El uso de la clase P4/FileReader permite obtener los metadatos de un documento dete 
medio del método gerDocumenilnfo. 


inado por 


v-1500 32 bit (intel)! on 


o, 


Type “Әшір”, "copysight", “eredita” ог “1. more information 
>>> from РУРОР2 inport PALE 


>>> def 


A The_Press_Nelease.pdt', 
2 Т 


+ Gocinto[nezalten] 
m 
ti 
[+] /Groator:s 
[+] /Creationda: 


20101210031827«02* 00° 


En este caso, la función printMe/a crea una instancia de la clase PdfFileReader con el documento 
PDF а manipular. Posteriormente, la función gerDocumentinfo se encarga de retornar un diccionario 
соп todos los metadatos del documento. En este caso concreto, se ha utilizado el fichero PDF que ha 
sido utilizado por la policía griega para capturar a Alex Tapanaris. Como se puede apreciar, aparece 
el nombre completo del autor, la fecha de creación y la herramienta utilizada para su edición. Se trata 
de un ejemplo simple que puede ser utilizado contra cualquier documento PDF y que demuestra el 
uso de un pequeño conjunto de las funcionalidades incluidas en PyPDF2. 
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1.6.2 Análisis de metadatos EXIF con PIL (Python Imaging Library) 
Exif (Exchange Image File Format) es una especificación que indica las reglas que deben seguirse 
= ia hora de almacenar ficheros cuyo contenido son imágenes o audio. Esta especificación es 
especialmente interesante debido a que es aplicada por varios dispositivos tales como smartphones. 
cámaras digitales. 
Жете los metadatos que se pueden incluir en grabaciones de audio y fotografías digitales, se 
“encuentran las coordenadas PDF con la ubicación exacta de donde se han creado. Nuevamente, 
tipo de información ha sido muy útil para organismos como la policía a la hora de localizar 
Sales o incluso terroristas, pero desafortunadamente, también ha sido utilizada por delincuentes 
perfilar a sus víctimas. 


Әсттріо de esto, son las imágenes que los usuarios suelen subir a redes sociales como Facebook, 
о Tuenti, si dichas imágenes tienen información sensible como las coordenadas PDF, para 
jente será mucho más fácil abordar a su victima fisicamente o conocer sus movimientos, 

problema concreto se ha reportado principalmente en los meradaros EXIF generados por 
tivos IPhone 45, sin embargo, las versiones más recientes ya no incluyen información 

сото las coordenadas PDF donde зе ha tomado una fotografía digital con la cámara del 


ama librería en Python que permite el procesamiento y manipulación de imágenes. Permite 
metadatos EXIF incluidos en un documento muy fácilmente utilizando la función_getexi/ 
de metadatos son especialmente extensos y pueden cubrir varias páginas de texto, por este 
осазїопев es mejor buscar solamente aquellos metadatos que resulten interesantes, como 

el campo GPS/nfo. 


fetadata.py 


адз import TAGS 


ge. open (ingFi LeNaze) 
Lgetexif() 


ue) in info.items(): 

«еседег = TAGS.get(tag, tag) 
decoded] = value 

lacas = exifDatal'GPSInfo'] 

e 

print "[*] * + ішегі 


е + * GPS Data: "eexifGRs 
IPS AAdastra.pngt) 


46 Python para Pentest. 


El script anterior, se encarga de invocar a la función ;estForExif enviando como argumento 
ruta de una imagen. Posteriormente se utiliza la АРУ de P/L para abrir el documento y ext 
los metadatos EXIF de la imagen. En el caso de que en los mesadaros de la imagen se incluya 
campo con información sobre las coordenadas PDF. se pinta por pantalla el nombre del fichero 
las coordenadas extraídas. 


Se trata de un ejemplo bastante simple para explicar fácilmente el uso de P/L para la extracci 
de metadatos EXIF, pero evidentemente, un atacante podría utilizar otras librerías como Request 
y Mechanize para extraer dinámicamente las imágenes de un sitio web y posteriormente aplicar 
mismo procedimiento que se ha vito en сі scripr anterior para extraer las coordenadas PDF de ие 


listado de imágenes, | 


El uso de Requests, Mechanize y otras librerias enfocadas a entomos web, se verá en el siguiente 
capítulo de este documento. 
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Capítulo II 
Escaneo, enumeración y detección de 
vulnerabilidades 


la información recolectada anteriormente, el atacante tiene suficiente para comenzar con 
“fase de escanco, enumeración e identificación de posibles vulnerabilidades. En esta etapa, un 
intentará determinar cuáles servicios se encuentran en ejecución en la máquina objetivo, La 

ión recogida en esta fase es un importante insumo que permitirá determinar los principales 

de acceso y limitar el rango de búsqueda de vulnerabilidades dependiendo de los servicios 
ción, Existen una gran cantidad de herramientas que ayudan en la automatización de este 

“de actividades y lo mejor de todo, es que muchas de ellas se pueden automatizar desde scripts 


Reconocimiento y enumeración con Scapy 


e una librería en Python que se caracteriza por ser muy potente y flexible a la hora de 
analizar, manipular, e inyectar paquetes en un segmento de red. Soporta una gran cantidad 
оз de red y se utiliza en un gran número de proyectos de seguridad informática en 
зе requiere manipular paquetes de red. Además de permitir la manipulación de paquetes, 
es una excelente herramienta para realizar actividades de reconocimiento y escanco de 
con la ventaja evidente de que permite controlar todo desde un serip en Python. Por otro 
dientemente de la herramienta utilizada, se han ido desarrollando varias técnicas que 
realizar escancos de puertos y detectar servicios en ejecución, cerrados y filtrados. Cada 
caracteristicas muy concretas y para un atacante o pentester, es importante conocerlas bien 
єп qué momento resulta conveniente utili 


= Se asumen unos conocimientos básicos sobre el funcionamiento de protocolos tales como 
UDP. 


.1 TCP Connect Scan 
se realiza una conexión ТСР a un puerto determinado, se intercambian tres paquetes con las 
SYN /SYN+ACK y АСК. Dichos paquetes representan la comunicación completa, donde tanto 
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el cliente como el servidor reconocen que se encuentran en disposición de intercambiar paquetes 
de datos, Se trata evidentemente, del mecanismo más fiable para detectar зї un puerto se encuentra 
abierto, pero también suele ser el mecanismo más auditado y vigilado por sistemas de detección y 
prevención de intrusiones. En este tipo de escaneo, un puerto se encuentra abierto en el caso de que 
el servidor responda con un paquete que contenga la flag ACK después de enviar un SYN y se asume 
que se encuentra cerrado en el caso de que la respuesta por parte del servidor sea un paquete con la 
flag RST. 

Script connect хсапьру 


+! /usr/bin/python | 


logging.gatLoggar ("acapy. runtime") . set Level (logging. 
from всару.а1- 


if lentsys.argv) te 
print "usage: Python connect scan.py «1р эда: 
өх) 


as» «liat of porte separated by colo" 


are port = RandShort() 
dut porte22 
dat-ip = aya.argvil 


ort, dportuint (port) ,flagaw"AN"1) 


2.1.2 TCP Stealth Scan 

Se trata un tipo de escanco basado en el TCP Connect (three-way handshake) con la diferencia 
de que la conexión contra el objetivo en el puerto especificado no se completa íntegramente, уа 
que es cortada por el cliente antes de que pueda completarse el handshake. Consiste simplemente 
en comprobar el paquete de respuesta del objetivo апіс un paquete con la flag SYN habilitada. Si 
el objetivo responde con un paquete que tiene Лас AST establecida, se asume que el puerto se 
encuentra cerrado o filtrado. 


En el caso de que el paquete de respuesta contenga las flags SYV+ACK, se asume que el puerto se 
encuentra abierto y dado que al atacante no le interesa completar el handshake envía un paquete con 
la flag RST para finalizar la conexión. 
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!g -gezLogger ("scapy. runtime") „setLevel (logging. ERROR) 
scapy.all import * 


1th scan.py «ip address» «list of ports separated by 


сїр) „split (15%) 


t in scanPortst 
e = srl(IP(dstedst 4р) /ТСР(арогсевге port,dporteint(port),- 


print porte": Open” 
'ponse.getlayer(TCP).fags == 0x14): 
print porte”: Closed" 
haslayer(ICHP)): 
1£ (int (response .getlayer (ICMP) .type)==3 and int(respon 
code) in [1,2,3,9,10,13]) 
print porte”: Filtere 


gotlay- 


Escaneo UDP 
æn protocolo que se caracteriza por garantizar que las tramas de los paquetes de datos se 
completa y ordenadamente sobre un canal de comunicación entre cliente y servidor. 
“lado, UDP es un protocolo que se caracteriza por enviar lo más rápidamente posible los 
de datos a un destino concreto. 


по garantiza que los paquetes enviados lleguen en orden o que las tramas lleguen 
esto es debido a que en el protocolo UDP se asume que el destinatario se encuentra 
para recibir paquetes de datos y en ese modelo no Вау cabida para el reconocimiento de la 

сото si ocurre con el handshake que se debe establecer entre cliente y servidor ТСР. 
„de servicios que se ejecutan bajo protocolo UDP, es un proceso simple y muy rápido, ya 


Beva а cabo el reconocimiento de la comunicación entre ambas partes y para probar si un 
tra abierto, solamente es necesario enviar un paquete UDP al puerto en cuestión. En 
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el caso de que el puerto se encuentre abierto, la respuesta será un paquete LDP, en el caso com 
1а respuesta зегі un paquete /CMP del tipo 3 (Puerto Inalcanzable). 


Seript udp_scan.py 


41 /usr/bin/python 
import ¿09gíng 

logging. getLogger ("acapy. vel (logging ERROR) 
from scapy.all import * 


(зу. асау) 1- 3: 

„ЁН! Л" “usage: Python udp scan.py «ip address» «аъ of porta separated by со- 
exitu) 

are port = Rendshort() 


dat ip = sya.argv[i 
ports = sys.azavi2l 


ace(* 5, 5%) 
ports. strip() 23 


porta. tepi 
scenborte 


for port im scasPorts 


is р) /UD? (dport=int (port) )) 
sponse) етуре' o" 
range (0,3): 
pend (sri (19 (detodet, 1р)/ 


UDP (dport"int(port)))) 


* Open" 
icu): 


туре)==3 and int(responsc.getiayei 


Closed" 
P) . typo) 


E 


and inciresponse.getlsyer(1CMP).ccde) ir 


Print porte”: Filtered” 


2.1.4 ACK Scan 
Un escaneo TCP ACK. en realidad no es una técnica para detectar la disponibilidad de un servicio. 
sino que le permite a un atacante perfilar el objetivo y determinar si hay algún Firewall en ejecución 
en la máquina remota. 


Implementar este tipo de escaneo es sencillo, solamente es necesario crear un paquete con la flag 
ACK activada y enviarlo al objetivo, en el caso de que la máquina remota responda con un paquete 
que tenga la flag AST habilitada, se asume que el puerto no se encuentra filtrado por ningún firewall. 
En el caso de que el objetivo no responda o que responda con un paquete /CMP del tipo 3, se asume 
que hay un Firewall filtrando los paquetes entrantes en el puerto especificado, 
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intise") .setLevel (logging. ERROR) 
scapy.all import * 


Zen(sys.argv) != 3: 
print "usage: Python sck scan.py «ip address» «| 


t of ports separated by co- 
exit 
2 port  RandShort() 


Zap = зуз.агду[1] 
= зуз.ас9у[2) 


a] 
a = ports stript әрііесе 3 


port in scanPorta: 
esponse = srl(IP(dst«dat ip)/TCP(dporteint(port),flags-"A")) 
if (atr(type(response))*e"«type “Шопетуре”>"): 


jetlayer(TCP).flgs == Ox4): 
print "No firewall" 
eL: (response .haslayer (ICMP) 
if(int (response, getlayer(1CMP).type)-«3 and int(responze. 
Z (ICMP) code) in [1,2,2,9,10,13]): 
print "Stateful firewall" 


XMAS Scan 
зе basa en el establecimiento de las flags PSH, FIN у URG. Al ver los paquetes de 
parecen un árbol de navidad, con varias Jlags establecidas y varias sin establecer, ese es el 
e su nombre, Si el puerto en cuestión se encuentra abierto, no habrá respuesta por parte 
en el caso de que retorne un paquete con la flag RST indica que el puerto se encuentra. 
'fizalmente, si devuelve un paquete /CMP del tipo 3, el puerto se encuentra filtrado. 


у 
у.а11 import * 
legging 
„getLegger (“асару runtime") .setLevel (109g! ng.ERROR) 
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scanPorts = ports.strip().split(':^) 


for port іп scanPorts: 
1f port.isdigit() 
response = szl(IP (detedestination)/TCP (dport-int (port), Zags="FPU")) 
if response is None: 

print "[*] Puerto Аз Open! 
elif(responsc.naslayer(TCP) and r 
print "[-] Puerto îs Closed" | (port) 
elif(response.haslayer(ICMP)) and int (response. get layer (ICMP) type) ==3. 

print "[-] Puerto 1a Filtered! 


(TCP) «Haga == 0x14): 


print "L-] Puerto 1s invi 


siport) 


2.1.6 FIN Scan 


Un escaneo FIN, envía un paquete TCP al objetivo con la flag FIN establecida. En el caso de 
no exista una respuesta por parte de la máquina remota, se asume que el puerto se encuentra ubi 
pero si la respuesta es un paquete con la flag AST establecida, se asume que el puerto se encu. 
cerrado. 


Script fin_scan.py 
+! /uar/bin/python 
import logging 
logging.getLogger ("scapy. runtime”) 
from scapy.all import * 
if len(sys.argv) t= 3 

print "usage: Python fin scar.py ip address> «list of ports separated by co- 
lon»* 


tLevel (Logging. ERROR) 


exit 
&rc port = KandShort() 
dat ip = sys.argv(1] 


porta = sys.argv[2] 
porta. replace? ", =) 
scanPorts = porte-strip() .split(*s^) 


tor port in scantorta: 
response = sri(IP(dstedet !p)/TC? (dport=int (port) ,flage="F“)) 
lf (ste (type (response) )==7<typa "üoneType'o"): 
print "Op ered” 
eiif(response.haslayer(TCP)): 


gs == 0x14): 


-hasiayer(ICHP)) 
iE (int (response. got layer (ICH?) .type)==3 and int (response. 
getlayer (ICMP) code) in [1,2,3,9,10,131) 

print “Filtered” 
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2.1.7 NULL Scan 

Un escaneo NULL. envía un paquete TCP al objetivo sin ninguna flag establecida. En el caso de que 
їз máquina remota no emita ninguna respuesta, se asume que el puerto se encuentra abierto, зі la 
máquina remota devuelve un paquete con la flag RST, se asume que el puerto se encuentra cerrado. 


“Script null зсапру 
qt /usz/bin/python 
import logging 
dessins. gotLogger ("scapy. runtime”) .setlevel (1ogging.ERAOR) 
rcm scapy.all im 
15 zen (sys argv) 
print ^ш 
к>” 
exito 
aes рог = Randshort 0 
$z ip = sys.argv[1) 
pests = sys.argv(2] 


E 
ige: Python null scam.py «ip address» «list of ports separated by co- 


peris. replace (* ", =“) 
zip () splite: 


responi t (port) „tlage=") 
if (otr (type (respon: «type “Нопетуре”>”): 
print "Open|Filtered" 
elif (response .hasLayer (1CP)) : 
response. getlayer(ICP) „flags == 0x14): 
print "Closed" 
elif (response ,haslayer (1CMP)) + 
1f(int(response.getla; 
Ф).соде) în [1,2,3,9,10,13]) : 
t 


Wat (response. getlayer 


2.1.8 Window Scan 

Esse tipo de escaneo funciona igual que el escaneo del tipo ACK, con la diferencia de que en este 
exo, si que se intenta determinar el estado de un puerto verificando el tamaño del campo window del 
paquete devuelto por el objetivo. La respuesta de la máquina remota será un paquete con la flag RST 
"establecida, pero en el caso de que el valor del campo window sca positivo, se asume que el puerto 
ж encuentra abierto. Si el valor del campo window es cero, se asume que el puerto se encuentra 
eesrado. 


Script window. scan py. 
Wi /usr/bin/python 
“тесте logging 
lesging.getLogger("scapy. runtime") .setevel (1099ing.ERROR) 
= лае = 

n (sys-axgv) 1- 3: 
Print "usage: Python window scan.py cip address» «list 
elo” 

exis 


f ports separated by 
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[str бура 


Las técnicas de escaneo que se han implementado en esta sección con Scapy, también se encuen 
implementadas en muchas otras herramientas, como por ejemplo, Nmap. 


2.2 Utilizando NMAP desde Python 


NMAP es una potente y robusta herramienta que implementa diferentes técnicas de escaneo 
puertos en ordenadores. Su principal objetivo es el de encontrar información detallada sobre 
sistema concreto o un segmento de red completo. Incluye un avanzado sistema de detección 
servicios, puertos abiertos y otras características bastante interesantes que pueden servir de apoyo, 
un atacante para descubrir sistemas vulnerables y planificar su ataque. Dentro de las característi 
más interesantes, se incluyen diferentes tipos de técnicas de evasión de sistemas de seguridad co 
IDS 0 Firewalls, así como también un potente motor de scripting que permite recolectar informaci 
y detectar vulnerabilidades concretas sobre el sistema escancado. En este apartado, se explicarán 
características más interesantes que se incluyen en АМАР. 


2.2.1 Script Engine 
Una de las características más interesantes y potentes que tiene Nmap es su motor para crear 
ejecutar scripts siguiendo la especificación NSE (Nmap Scripting Engine). De esta forma 
solamente es posible encontrar puertos abiertos, sino que también es posible ejecutar rutinas m 
complejas que permitan filtrar información sobre un objetivo. Actualmente bay una gran cantidad 
scripts incluidos еп Nmap para múltiples propósitos, como por ejemplo detectar los métodos //; 

soportados por un servidor web. si un servicio SNMP tiene habilitado algún nombre de comunid: 
frecuente como public o private, detectar si el objetivo ejecuta un WAF (Web Application Firewall 
entre muchas otras rutinas que resultan muy útiles para un atacante, 


Para ejecutar un script, es necesario indicar la opción —scríp junto con el nombre del scrip! NS? 
que se desea ejecutar. En el caso de que el scrip: requiera algún argumento, también es necesari 
incluir la opción —scripr=args. Por otro lado, la opción -sC también puede ser utilizada para ejecut 
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los scripts que coincidan con un puerto abierto o servicio en ejecución encontrado durante el 
de escaneo. 


scripts disponibles en una instalación de Nmap, se encuentran disponibles en el directorio 

¡MAP>scripis". Si por ejemplo, Nmap se ha instalado en un sistema basado en Debian con 

stilidad apt-get, dichos scripts probablemente están ubicados en el directorio “/usr/local/share/ 
ripts/". 


del script snmp-interfaces. 
80У -p161 192.168.1.2 --seript-"snsp- 
"snspcommunity-public" 
ing Nmap 6.25 ( httpr//nmap.org ) at 2014-03-17 22:36 CET 
асап report for 192.168.1.2 
is up (0.000468 latency). 

STATE SERVICE VERSION 

open snmp пес-апер 

interfaces: 


tersi 


сез" --script- 


IP address: 127.0.0.1 Notmask: 255.0.0.0 
wareLoopback Speed: 10 Mbps 
эр 
Trafflo stats: 1 
алалса Micro Device 
| rip address: 192.168.1.10 Netmask: 255.255.255.0 
МАС address: 08:00:27:39:73:17 (Cadmus Computer Systems) 
Туре: ethernetCamacd Speed: 100 Mbps 
Status: up 
Trafüc stats: 1.42 Kb sent, 12.91 Kb received 
mizeaza: 08:00:27:39:73:17 (Cadmus Computer Systems) 
detection performed. Please report any incorrect results at httpi//nmáp. 
ut, s 
doce: 1 IP address (1 host up) scanned in 5.97 seconde 


script smnp-netstat. 
-suv -p161 192.168.1.2 --scripte"snep-netstat" --scrípt- 
'srepconmanityspublic" 

Neap 6.25 ( httpi//nmap.org ) at 2014-03-17 22:38 CE: 
can report for 192.168.1.2 
Из ср (0.00046s latency). 

STATE SERVICE VERSION 

open snap | net-sunp 

0.0.0.0:22 

0:0:0:0:80 


127:0:0 
12710:0;1:199 


127.0.0.1:199 
127.0.0.1:199 


